J’ai été surpris en lisant l’interview du PDG de Zscaler, Jay Chaudry, dans CRN, où il déclarait que « les pare-feu de réseau suivront la destinée de l’ordinateur central », que « le réseau n’est que de la plomberie » et que l’architecture de proxy superposée de Zscaler le remplacera par son « standard d’application ».
En fait, notre parcours commun dans le domaine de la sécurité réseau nous livre un enseignement très différent. Voici mon point de vue.
La première fois que j’ai rencontré Jay Chaudry, c’était dans un bureau à Atlanta en 1995. Nous commencions à créer le réseau de partenaires Check Point et Jay venait de lancer SecureIT, une entreprise de revente, de services et de formation axée sur nos produits.
Jay a toujours été un visionnaire. Il misa sur le fait que le pare-feu réseau de Check Point prendrait le dessus sur des acteurs bien établis dans le domaine des pare-feu tels que Raptor, Gauntlet TIS et Sidewinder. Avez-vous déjà entendu l’un de ces noms ? Je ne le pense pas. Leaders du marché à l’époque, ils proposaient des pare-feu proxy qui protégeaient des applications spécifiques à l’aide d’un code par application. Jay a parfaitement compris qu’un pare-feu plus généraliste, le pare-feu réseau, remporterait cette bataille en intégrant la sécurité directement dans le réseau et en appliquant un audit à l’ensemble du trafic, et pas seulement au trafic applicatif.
Le pare-feu réseau a d’abord été accueilli avec scepticisme et seuls des visionnaires comme Jay ont vu l’avenir. Il était clair que le pare-feu réseau était l’approche gagnante en raison de la prolifération des protocoles et des applications, et de la complexité croissante de la pile de sécurité. Les pare-feu proxy ont disparu. Jay a eu le nez creux en bâtissant son activité autour du pare-feu réseau Check Point et s’est servi de ce succès et de son esprit d’entrepreneur pour lancer Zscaler.
Zscaler proposait une passerelle Web sécurisée (SWG) en tant que service. Cela permettait de résoudre un problème urgent : les utilisateurs voulaient un accès direct à Internet depuis n’importe où, sans avoir besoin de passer par des appliances de concentrateurs VPN d’entreprise ou des pare-feu de datacenters. L’Internet public étant le réseau sous-jacent, Zscaler n’avait d’autre choix que de développer sa solution sous la forme d’un proxy superposé.
Après les SWG vint le besoin de courtiers en sécurité pour l’accès au cloud (CASB) qui utilisaient la même architecture proxy appliquée aux applications SaaS. Enfin, l’accès au réseau Zero Trust (ZTNA) utilisait la même approche pour accéder aux applications privées dans les datacenters. Cette progression a donné naissance à une entreprise du secteur de la sécurité réalisant plusieurs milliards de chiffre d’affaires. Mais le lancement de ces différents produits fut une source de complexité. Les entreprises devaient maintenir leurs réseaux MPLS, leurs SD-WAN et leurs pare-feu réseau et y superposer les proxies SWG, CASB et ZTNA.
Migrating your Datacenter Firewall to the Cloud| Download the White PaperC’est cette réalité complexe que Gur Shatz et moi-même avons voulu changer en lançant Cato Networks en 2015. Nous avons créé l’architecture et la catégorie que Gartner appellera plus tard SASE, déclarant qu’il s’agissait de l’avenir des réseaux étendus et de la sécurité réseau. L’idée à la base de Cato est simple. Créer un service cloud qui fait converger les capacités de mise en réseau et de sécurité réseau fournies par les appliances et celles fournies par les proxys tels que SWG, CASB et ZTNA. Le service cloud qui en résultera mettra ces capacités à disposition par le biais d’une architecture single-pass fournie de manière élastique dans le monde entier et à toutes les périphéries – sites physiques, datacenters dans le cloud et physiques, utilisateurs distants, IoT, etc. Comme c’est le cas avec un AWS pour la mise en réseau et la sécurité, Cato SASE permet aux entreprises de tirer parti de ces capacités sans posséder la pile qui les fournit. SASE permet que chaque capacité mise en convergence contribue à l’efficacité de toutes les autres. Le réseau offre une visibilité à 360 degrés, ce qui permet de disposer d’un contexte complet immédiat qui favorise les décisions en temps réel ainsi qu’une détection et une réponse précises.
Essentiellement, Gur et moi-même avons créé un tout nouveau facteur de forme du pare-feu réseau conçu pour le cloud. J’ai eu la chance de créer le premier avec Gil Schwed : le facteur de forme logiciel désigné en tant que Firewall-1. J’ai aussi eu l’honneur de remettre le premier chèque à Nir Zuk qui a permis la création du deuxième facteur de forme de l’appliance convergente pour pare-feu de nouvelle génération (NGFW) chez Palo Alto Networks. SASE et sa mise en œuvre par Cato constituent le troisième facteur de forme : le réseau cloud sécurisé.
Jay, les pare-feu sont là pour rester, mais en utilisant un facteur de forme différent. C’est l’approche proxy de Zscaler qui va disparaître. Tu avais bien anticipé les choses il y a 28 ans, tu devrais anticiper l’avenir de la même façon aujourd’hui.